保监会日前发布《保险公司信息化工作管理指引》（以下简称《指引》），并自2010年1月1日起施行。《指引》明确规定，保险公司应当加强信息化工作外包服务管理，不得将信息化管理责任外包。同时，应当按照监管部门要求，结合外包服务实际需要，制定外包服务的基本规范，确保对信息系统安全的控制能力。

　　《指引》所称信息化工作，是指计算机、通信、网络等现代信息技术在保险公司业务处理、经营管理等方面的应用，包括相应的信息化组织架构建立、制度建设，以及基础环境建设等工作。

　　《指引》强调，保险公司应当把信息化工作纳入公司全面发展框架进行统筹考虑，建立有效的信息化治理机制，明确信息化工作决策权归属，实现信息资源的合理利用，确保信息化工作与业务发展目标一致；加强信息系统风险管理，确保信息系统安全、稳定运行。

　　同时，保险公司应当建立信息化工作委员会，明确其工作职责和工作制度。定期或根据需要召开工作会议，对信息化工作重大事项决策研判，并提交公司最高决策层批准实施，公司法定代表人或主要负责人对信息化工作负有最终责任。此外，还应设立首席信息官或指定公司高级管理人员作为信息化工作的直接责任人，负责公司信息化建设工作，并参与公司经营、管理和决策。

　　《指引》明确规定，保险公司信息化建设、管理及信息化工作中涉及的数据信息，应符合国家及行业的有关规范、标准和监管部门要求，并应实现数据信息集中管控。同时，应当按照有效性、可用性和安全性的原则，对信息化基础设施和信息系统的功能、性能和安全保障等方面作出规定，并按规定实施，至少保证满足公司未来两年的业务发展要求。

　　同时，保险公司应当加强知识产权保护工作，优先采购自主可控的硬件设备和软件产品，严禁侵权盗版；根据自身实际情况，积极研发具有自主知识产权的信息产品，并采取有效措施保护公司信息化工作成果。

　　《指引》强调，保险公司应当加强信息安全与信息系统的同步规划和同步建设，构建完善的信息安全保障体系。应当通过管理机制和技术手段，确保信息系统安全，保证重要信息的可用、保密、完整及真实，保障业务活动的连续性。同时，应当加强信息化工作相关研究，建立创新激励机制，鼓励科技创新。有条件的公司可以探索建立科技创新基金。

　　《指引》还规定，保险公司应当建立信息化工作的风险评估机制和信息系统审计制度，由独立于信息技术部门的有关部门负责审计工作，至少每两年进行一次审计。审计结果应在审计完成后3个月内报保监会备案。同时，鼓励保险公司在符合国家有关法律、法规和监管要求的情况下，聘请具备相应资质的外部机构进行外部审计和风险评估。